보안 솔루션 사칭 안드로이드 악성코드 사례

최근에는 계속해서 매크로를 이용한 문서나 윈도우 도움말 같은 새로운 형태의 악성코드를 포함한 피싱 메일에 대해 많이 설명드렸는데요. 과거부터 지금까지 윈도우 운영체제를 많이 사용하고 있기 때문에 한쪽으로 치우친 면이 없지 않아 있었는데, 오늘은 오랫만에 안드로이드 악성코드에 대해 말씀드리려고 합니다. 사실 악성코드 증가 폭은 윈도우보다 안드로이드 운영체제에서 더 크게 나타나는데, 그 이유가 계좌 조회나 이체 업무를 모바일뱅킹에서 하다보니 금융 정보와 같은 해커들이 노리는 정보가 스마트폰에 더 많이 저장되기 때문이죠. 이번에 말씀드리는 안드로이드 악성코드 사례도 은행들이나 증권사 같은 뱅킹 앱으로 위장한 케이스인데 이 부분에 대해 설명드리도록 하겠습니다.

​

제가 5년 전 대학원에서 안드로이드 악성코드에 대해 연구를 했을 당시에도, 대부분이 구글 플레이 스토어에서 상위권을 차지하고 있는 앱으로 위장한 악성 앱이었습니다. 해커들이 만든 악성 앱들을 구글 플레이 스토어에 등록해서 사용자가 다운로드 받게 하거나 스미싱을 이용해서 설치하도록 유도했죠. 하지만 지금과 차이점이 있다면 정상적인 앱을 리패키징한 형태보다는 스마트폰에 보이는 아이콘만 동일하고 설치해서 실행을 하면 바로 악성 행위를 수행한다는 점이 달랐는데요. 현재의 악성 앱은 정상적인 앱을 디컴파일해서 악성 행위를 하는 코드를 추가하고 다시 리패키징하여 실행했을 때도 최대한 정상적인 앱처럼 보이도록 합니다.

​

위에서 말씀드린 과거와 현재의 차이를 아셨다면, 최근의 안드로이드 악성코드가 과거와 달리 사용자의 스마트폰에 오랫동안 설치되어 더 많은 정보를 가져가려고 한다는 것이 보이실텐데요. 이전에는 단순히 사용자의 스마트폰에 설치되어 공인인증서가 있다면 복사해서 유출하는 것으로 끝났다면, 이제는 최대한 정상적인 앱처럼 보여서 사용자가 삭제할 때까지 더 많은 행위를 모니터링해서 정보를 가로채거나 스마트폰을 제어한다는 의미입니다. 더 큰 문제는 기존 앱에 악성 행위 코드를 추가해해서 리패키징해주는 RAT(Remote Admin Tool)도 워낙 잘되어 있기에 과거보다 더 탐지하기 어렵다는 겁니다.

​

여기까지 안드로이드 악성코드의 최근 동향을 말씀드렸으니, 아래의 기사에서 언급한 모바일 보안 솔루션으로 위장했던 악성 앱에 대해 간략하게 설명해보겠습니다. 거의 모든 은행이나 증권사에서 모바일뱅킹 앱을 만들어서 배포하고 있는 건 다들 아실텐데요. 이 모바일뱅킹 앱은 서비스를 위한 코드와 함께 보안 업체에서 만든 모바일 보안 솔루션이 탑재됩니다. 플러그인 형태라고 생각하시면 쉬우실꺼 같은데, 모바일뱅킹 앱을 실행해보시면 앱 위변조 검사나 루팅 탐지를 실행한다는 문구와 함께 몇 초가 지나야 첫 화면으로 넘어가는 걸 보실 수 있죠. 이 부분이 모바일 보안 솔루션에서 실행하는 부분인데, 대부분의 보안 솔루션은 이렇게 라이브러리 형태로 존재합니다.

​

물론 안랩의 V3나 NSHC 사의 Droid-X 보안 솔루션의 경우 구글 플레이 스토어에 별도의 설치 파일로 등록되어 있습니다. 다만 악성코드로 위장한 앱은 스틸리언 사의 AppSuit Premium이라는 보안 솔루션인데, 해당 보안 솔루션은 플레이 스토어에 존재하지 않기 때문에 설치 파일이 있는 것처럼 위장했다고 보시면 될 것 같습니다. 아무래도 스미싱이나 외부 URL 링크에서 다운로드 하도록 유도했을 것으로 추정되고, 악성코드를 분석해보면 전화를 가로채고 은행에서 전화가 온 것처럼 속여서 개인정보를 말하도록 유도하는 기능이 포함되어 있습니다. 또한 다른 악성코드처럼 위치 정보를 탈취하거나 설치된 앱 리스트 중 백신을 삭제한다던지 등의 기능들도 존재한다고 하네요.

 

보안 솔루션 사칭한 악성 앱이 사용자 정보를 노린다

이번 기사에서는 악성코드를 코드 레벨에서 분석한 내용들이 있기 때문에 관심 있는 분들은 한 번쯤 읽어보셔도 좋을 거라 생각됩니다. 그나마 다행인 것은 안드로이드에서 권한을 허용하는 체계가 바뀐 이후로, 앱이 너무 과도한 권한을 요구하면 사용자가 이상하다고 느껴 삭제하는 케이스가 많아졌다는 건데요. 안드로이드에서도 기본적으로 외부 URL로 부터 다운로드 받은 APK 파일을 설치하지 못하도록 막아두기도 해서 과거보다는 덜 하지만, 보안을 위해 설치해야 한다는 등 여전히 사람들의 심리를 이용하는 공격들이 많기에 조심하셨으면 합니다. 그러면 이번 에세이는 여기서 마치도록 하겠습니다. 읽어주셔서 감사합니다.